锐捷交换机交换机配置安全ACL

1、锐捷交换机交换机配置安全ACL1 .配置ACLs的步骤l通过申明一个 ACL的名字及为该 ACL创建ACEs（每条ACE均由匹配条件和行为构成）来创建一条 ACL。l将该ACL应用于某一个交换机接口。2. Standard （ 标准）或 Extended（ 扩展）IP ACLs步骤 1 configure terminal 进入全局配置模式。步骤 2 ip access-list standard name用数字或名字来定义一条StandardIP ACL 并进入 access-list 配置模式。步骤 3 deny source source-wildcard|host source|any

2、orpermit source source-wildcard|host source|anytime-range time-range-name在特权配置模式，您可以通过如下步骤来创建一条Standard IP ACL在access-list配置模式，申明一个或多个的允许通过（permit）或丢弃（deny）的条件以用于交换机决定报文是转发或还是丢弃。host source代表一台源主机，其 source-wildcard 为 。any代表任意主机，即 source为 , source-wild 为 55 。time-range-nam

3、e（ 可选）指明关联的time-range 的名称步骤4 end退回到特权模式。步骤 5 show access-lists name显示该接入控制列表，如果您不指定access-list 及name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config 保存配置例：创建一条IP Standard Access-list(标准访问列表)该 ACL 名字 deny-host192.168.l2.x :包含两条 ACE :第一条ACE拒绝来自网段的任一主机，第二条ACE允许其它任意主机。同时将其应用到端口f 0/2上S

4、witch(config)# ip access-list standard deny-host192.168.l2.xSwitch(config-std-nacl)# deny 55 anySwitch(config-std-nacl)# permit anySwitch(config-std-nacl)# endSwitch# config tSwitch(config)# interface FastEthernet 0/2Switch (config-if)# ip access-group deny-host192.168.l2.x inSwi

5、tch(config-if)#endSwitch # show access-list例：创建一条IP Extended Access-list(扩展访问列表)该 ACL 名字 allow_0xc0a800_to_包含一条 ACE ,用于允许指定网络(192.168.x.x)的所有主机以 HTTP访问服务器，但拒绝其 它所有主机使用网络。Switch(config)# ip access-list extended allow_0xc0a800_to_Switch(config-std-nacl)# permit tcp

6、 55 host eq wwwSwitch(config-std-nacl)#endSwitch # show access-list3. MAC Extended ACLs配置MAC Extended ACL 的过程，与配置IP扩展ACL的配置过程是类似的。在特权配置模式，您可以通过如下步骤来创建一条MAC Extended ACL :步骤 1 configure terminal 进入全局配置模式。步骤 2 mac access-list extended name以名字定义一条 mac extended acl ,并进入a

7、ccess-list 配置模式步骤 3 deny | permit any | host source MAC address any | host destination MACaddress aarp |appletalk |decnet-iv| diagnostic | etype-6000|etype-8042| lat | lavc-sca | mop-console|mop-dump | mumps |netbios|vines-echo | xns-idptime-range time-range-name在access-list配置模式，申明对任意源MAC 地址或指定的源 MA

8、C 地址、对任意目的MAC地址或指定的目的MAC地址的报文设置允许其通过或拒绝之的条件。（可选项）您可以输入如下以太网协议类型：aarp | appletalk |decnet-iv |diagnostic |etype-6000 | etype-8042 | lat | lavc-sca|mop-console | mop-dump | mumps |netbios|vines-echo | xns-idptime-range-name（ 可选）指明关联的time-range 的名称步骤4 end退回到特权模式。步骤 5 show access-lists name显示该接入控制列表，如果您

9、不指定access-list 及name 参数，则显示所有接入控制列表。步骤 6 copy running-config startup-config 保存配置您可以用 no mac access-list extended name 全局配置命令来删除整条MAC 扩展ACL。您也可以单独删除指定ACL中的某一条或某几条 ACE。里显示如何创建及显示一条MAC Extended ACL ,以名字 macext来命名之。该 MAC扩展ACL拒绝所有符合指定源MAC地址的aarp报文。Switch(config)# mac access-list extended macextSwitch(con

10、fig-ext-macl)# deny host 00d0.f800.0000 any aarpSwitch(config-ext-macl)# permit any anySwitch(config-ext-macl)# endSwitch# config tSwitch(config)# interface GigabitEthernet 2/1Switch (config-if)# mac access-group macext inSwitch (config-if)# endSwitch # show access-lists macextExtended MAC access li

11、st macextdeny host 00d0.f800.0000 any aarppermit any any4 .基于时间的ACLs应用你可以使ACLs基于时间进行运行，比如是 ACLHTTP的数据流:例：以ACLs应用为例，说明如何在每周工作时间段内禁止Switch(config)# time-range no-httpSwitch(config-time-range)# periodic weekdays 8:00 to 18:00Switch(config)# endSwitch(config)# ip access-list extended limit_udpSwitch(con

12、fig-ext-nacl)# deny tcp any any eq www time-range no-httpSwitch(config)# endSwitch(config-ext-nacl)# exitSwitch(config)# interface fastethernet0/1Switch(config-if)# ip access-group limit_udp in下面为 time-range 的显示范例：Switch#show time-rangetime-range name: no-httpperiodic Weekdays 8:00 to 18:00time-rang

13、e name: no-udpperiodic Tuesday 15:30 to 16:305 . Expert Extended ACLs专家级ACL为您提供了更强的组合过滤条件，使您更有效地限制网络使用者:，比如禁止学生自ACL ,在这个时1 .可以实现对VLAN/网段的过滤，限制某些网络只能使用特定的应用， 习时间在教室里玩网络游戏，只要给教室分配一个网段，对这个网段应用 间段禁止网络游戏报文的传输即可。2 .可以对以IP+MAC 绑定的用户进行网络资源使用限制。例：创建及显示一条 Expert Extended ACL ,以名字expert 来命名之。该专家 ACL拒 绝源IP地址为19

14、 并且源 MAC 地址为00d0.f800.0044 的所有TCP报文。tcp 55 host Switch(config)# expert access-list extended expertSwitch(config-ext-macl)# deny tcp host host 00d0.f800.0044 any anySwitch(config-ext-macl)# permit any any any anySwitch(config-ext-macl)# endSwitc

15、h # show access-lists expertExtended expert access list expertdeny tcp host host 00d0.f800.0044 any anypermit any any any any6.验证命令例：显示名字为 ip_acl 的Standard IP access-lists 的内容：Switch # show ip access-lists ip_aclStandard ip access list ip_aclPermit host Permit host 192.168.1

16、1.1例：显示名字为 ip_ext_acl 的 Extended IP access-lists 的内容:Switch # show ip access-lists ip_ext_aclExtended ip access list ip_ext_aclpermit tcp host eq wwwpermit tcp host eq www例：显示所有IP access-lists 的内容：Switch # show ip access-listsSt

17、andard ip access list ip_aclPermit host Permit host Extended ip access list ip_ext_aclpermit tcp 55 host eq wwwpermit tcp 55 host eq www例：显示所有 access lists 的内容：Switch # show access-listsStandard ip access list

18、ip_aclPermit host Permit host Extended ip access list ip_ext_aclpermit tcp 55 host eq wwwpermit tcp 55 host eq www 资料Extended MAC access list macextdeny host 00d0.f800.0000 any aarp permit any any例：显示在百兆接口1上的 mac extended access-list :Switch #show mac access-group interface FastEthernet 0/1Interface FastEthernet 0/1:Inbound access-list is mac_ext以下例子显示所有接口配置的mac ACLs:Switch #show mac access-groupInterface FastEthernet 0/1:Inbound